Le Sezioni Unite Penali della Corte di Cassazione, con l'importante Sentenza n. 17325 del 24/04/2015, affrontano e risolvono il contrasto di giurisprudenza che si era formato sulla compentenza territoriale del reato di cui all'art. 615-ter del codice penale, relativo al delitto di accesso abusivo ad un sistema informatico o telematico.

Nel caso di specie l'operatore era entrato attraverso il proprio terminale ubicato in Napoli nella banca dati e server della Motorizzazione Civile che fisicamente risiede in Roma. Nel tempo si era formato un contrasto dottrinale e giurisprudenziale nella identificazione del "locus commissi delicti" ritenendo alcuni debba senz'altro individuarsi nel luogo ove il server è ubicato e ritenendo altri che il reato si perfezioni nel luogo dove l'agente opera.

Alle SS.UU. è stato affidato il compito di dirimere il contrasto e alle stesse è stato affidato il seguente quesito: "Se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615-ter, cod. pen., sia quello in cui si trova il soggetto che si introduce nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall'agente".

Nell'affrontare il caso le Sezioni Unite, come sovente capita, redigono una vera e propria lezione che coinvolge, oltre alle questioni di diritto, anche questioni tecniche riguardanti il dialogo client-server e la configurazione di un apparato informatico complesso come quello coinvolto nel caso.

Concentrandoci su questo ultimo aspetto, che pare il più interessante ed innovativo, la Suprema Corte ritiene di dover partire dall'aspetto tecnico per poter dare una risposta al quesito dell'individuazione del luogo di commissione del reato. Partendo dal presupposto che "... è  stato notato che nel cyberspace i criteri tradizionali per collocare le condotte umane nel tempo e nello spazio entrano in crisi, in quanto viene in considerazione una dimensione "smaterializzata" (dei dati e delle informazioni raccolti e scambiati in un contesto virtuale senza contatto diretto o intervento fisico su di essi) ed una complessiva "delocalizzazione" delle risorse e dei contenuti (situabili in una sorte di meta-territorio)" se ne deve concludere che è sull'analisi del sistema informatico che va posta l'attenzione.

E la Suprema Corte ci ricorda che un sistema informatico complesso è per sua natura "ubiquitario", non ha una reale collocazione fisico-geografica. L'affermazione, che potrebbe parere apodittica, fonda le radici, invece, sulla realtà tecnica.

Non condiviso integralmente l'affermazione secondo la quale "A dimostrazione della unicità del sistema telematico per il trattamento dei dati, basti considerare che la traccia delle operazioni compiute all'interno della rete e le informazioni relative agli accessi sono reperibili, in tutto o in parte, sia presso il server che presso il client", ma è interessante il suggerimento che i dati viaggiano su parte della rete e, in una qualche misura, si trovano in quel momento sparsi in un luogo che, a detta della stessa corte, è meta-territoriale. Altrettato interessante lo spunto fornito dalla corte quando afferma che "il sistema telematico deve considerarsi unitario, essendo coordinato da un software di gestione che presiede al funzionamento della rete". Infatti, non potrebbe essere consultata una banca dati remota senza il supporto dell'intera rete di internet.

Ma va aggiunto anche che spesso - e questo è un ulteriore tassello che conferma le tesi della S.C. - i grandi fornitori di servizi internet dislocano fisicamente i dati in località distinte e ciò viene fatto in particolare per motivi di sicurezza. Fatto è che un grande database potrebbe essere in contemporanea in più località - di solito molto distanti fra di loro - e che sarà il software del gestore del server a decidere in propria autonomia da quale delle varie località disponibili richiamare i dati da restituire al sistema chiamante.

In sostanza, afferma la Corte di Cassazione, "...  è arbitrario effettuare una irragionevole scomposizione tra i singoli componenti dell'architettura di rete, separando i terminali periferici dal server centrale, dovendo tutto il sistema essere inteso come un complesso inscindibile nel quale le postazioni remote non costituiscono soltanto strumenti passivi di accesso o di interrogazione, ma essi stessi formano parte integrante di un complesso meccanismo, che è strutturato in modo da esaltare la funzione di immissione e di estrazione dei dati da parte del client".

Affermazione di un principio, questa, che potrà esplicare effetti in molteplici settori del diritto dell'informatica. Non esiste una distinzione, quindi, secondo le SS.UU. fra client e server ma tutto è un insieme collegato e collaborante e si chiama "sistema informatico". Non si può che essere daccordo. E' la presa di coscienza di una "liquidità" di internet e dei dati in esso contenuti che va oltre l'ordinario immaginare.

Ma se si prende atto di una tale situazione deve altrettanto prendersi atto che la natura ubiquitaria della rete (del sistema) impedisce di individuare un luogo determinato. E' una presa d'atto che nell'impresa titanica di individuare un luogo in un sistema che per definizione è, appunto, meta-territoriale, si uscirà sconfitti. E allora tanto vale abbracciare un più fruibile metodo di individuazione che è quello della collocazione fisica dell'operatore, di colui che compie l'atto di accesso al sistema informatico.

Secondo le Sezioni Unite, quindi, "L'ingresso o l'introduzione abusiva, allora, vengono ad essere integrati nel luogo in cui l'operatore materialmente digita la password di accesso o esegue la procedura di login, che determina il superamento delle misure di sicurezza apposte dal titolare del sistema, in tal modo realizzando l'accesso alla banca-dati".

Aggiungendo solamente che la Corte si sofferma brevemente per ricordarci che "in ogni caso che, se il server non risponde o non valida le credenziali, il reato si fermerà alla soglia del tentativo punibile", a conclusione del lungo argomentare e a risposta del quesito sottoposto, le Sezioni Unite esprimono il seguente principio di diritto:

"Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615-ter cod. pen., è quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente".

Di seguito il testo di Corte di Cassazione - Sezioni Unite Penali -  sentenza n. 17325 ud. 26/03/2015 - deposito del 24/04/2015